Bug 33115 - FreeIPA не доступны пользователи из доверенного домена
: FreeIPA не доступны пользователи из доверенного домена
Status: ASSIGNED
: Sisyphus
(All bugs in Sisyphus/sssd)
: unstable
: all Linux
: P3 normal
Assigned To:
:
:
:
:
:
  Show dependency tree
 
Reported: 2017-02-15 14:47 by
Modified: 2017-02-28 16:51 (History)


Attachments


Note

You need to log in before you can comment on or make changes to this bug.


Description From 2017-02-15 14:47:00
При настройке доверительных отношений между доменом FreeIPA и доменом
Windows2008. Из FreeIPA домена нету доступа к пользователем из доверенного
домена.
Проблема в правах доступа на файл /etc/krb5.keytab
Как временное решение можно назначить права 644:
# chmod 644 /etc/krb5.keytab
------- Comment #1 From 2017-02-19 09:23:03 -------
Женя предлагает добавить ещё одну группу для доступа к keytab и всех клиентов
вроде sssd включить в неё.
------- Comment #2 From 2017-02-19 13:13:10 -------
Вообще 600 root:root на keytab сам инсталлер freeipa ставит, AFAIR.
Надо бы посмотреть как это работает в той же федоре, 600 мне нравится гораздо
больше, чем 640.
------- Comment #3 From 2017-02-19 14:28:31 -------
в других дистрибутивах sssd работает от рута.
------- Comment #4 From 2017-02-20 01:57:34 -------
Казалось бы, keyctl в ядре с незапамятных времен, так нет же, будем
/etc/krb5.keytab использовать, как будто прошлый век еще не закончился.
------- Comment #5 From 2017-02-20 15:11:35 -------
(In reply to comment #3)
> в других дистрибутивах sssd работает от рута.

Это меняет дело. Тогда мне больше нравится sssd не от рута и 640 на keytab.

(In reply to comment #4)
> Казалось бы, keyctl в ядре с незапамятных времен, так нет же, будем
> /etc/krb5.keytab использовать, как будто прошлый век еще не закончился.

Я не думаю, что мы прямо сейчас готовы переписывать sssd и freeipa.
------- Comment #6 From 2017-02-22 15:38:27 -------
Я запушил к себе в гит изменения для sssd, позволяющие дать krb5.keytab права
на чтение для какой-нибудь группы. Осталось придумать ей название, добавить ее
создание в krb5 и изменить права на этот файл.
В sssd.spec нужно будет добавлять его пользователя в эту группу.
------- Comment #7 From 2017-02-22 15:51:39 -------
В качестве названия группы предлагается _keytab.
Но мне бы не хотелось собирать sssd и krb5, там используется %ubt и если я буду
готовить сборку, то у меня будет слишком большой соблазн убрать мусор из
релиза.
Ну и acl на эти пакеты у меня все равно нет.
------- Comment #8 From 2017-02-22 16:04:51 -------
Кому мусор, а кому снижение до нуля трудоёмкости бэкпорта в стабильный бранч. 
Женя, соберёшь sssd и krb5 с предлагаемыми изменениями ?
------- Comment #9 From 2017-02-24 14:28:12 -------
Да, я сделаю сборку. krb5 я уже начал смотреть на эту тему. Обнаружил, что есть
два предусмотренных вида keytab-файлов, по умолчанию:
$ git grep '\.keytab$' | grep configure.in
configure.in:   DEFKTNAME=FILE:/etc/krb5.keytab
configure.in:  
DEFCKTNAME=FILE:$exp_localstatedir/krb5/user/%{euid}/client.keytab

Для разработчиков они также доступны:
$ grep keytab /usr/lib64/pkgconfig/krb5.pc
defktname=FILE:/etc/krb5.keytab
defcktname=FILE:/var/lib/kerberos/krb5/user/%{euid}/client.keytab
------- Comment #10 From 2017-02-27 18:02:45 -------
Надо сделать это по возможности срочно.

(В ответ на комментарий №9)
> Да, я сделаю сборку. krb5 я уже начал смотреть на эту тему. Обнаружил, что есть
> два предусмотренных вида keytab-файлов, по умолчанию:
> $ git grep '\.keytab$' | grep configure.in
> configure.in:   DEFKTNAME=FILE:/etc/krb5.keytab
> configure.in:  
> DEFCKTNAME=FILE:$exp_localstatedir/krb5/user/%{euid}/client.keytab
> 
> Для разработчиков они также доступны:
> $ grep keytab /usr/lib64/pkgconfig/krb5.pc
> defktname=FILE:/etc/krb5.keytab
> defcktname=FILE:/var/lib/kerberos/krb5/user/%{euid}/client.keytab
------- Comment #11 From 2017-02-28 06:09:57 -------
Сборка отправлена в Сизиф:
#178959 BUILDING #2 [locked] [test-only] sisyphus krb5.git=1.14.4-alt2%ubt
sssd.git=1.14.2-alt5%ubt

Сценариев для проверки достаточно много, прошу проверить на своих. Буду
благодарен за просмотр (review) патча для krb5.
------- Comment #12 From 2017-02-28 16:08:51 -------
(In reply to comment #11)
> Сборка отправлена в Сизиф:
> #178959 BUILDING #2 [locked] [test-only] sisyphus krb5.git=1.14.4-alt2%ubt
> sssd.git=1.14.2-alt5%ubt

Просьба расшарить таск, я добавлю туда freeipa с соответствующими изменениями.

> Сценариев для проверки достаточно много, прошу проверить на своих. Буду
> благодарен за просмотр (review) патча для krb5.

Я взглянул, что сразу заметно:
- Если нужно проверять errno после getgrnam_r, то перед вызовом нужно делать
errno = 0. Иначе там может оказаться что угодно.
- Нет проверки fchown&fchmod на успешность. Хотя может это и не важно, делать
что-то в случае ошибки вряд ли нужно, если только сообщение вывести.
------- Comment #13 From 2017-02-28 16:51:44 -------
"Таску расшарил":
#178959 NEW #2 [shared] [test-only] sisyphus krb5.git=1.14.4-alt2%ubt
sssd.git=1.14.2-alt5%ubt

> Я взглянул, что сразу заметно:
> - Если нужно проверять errno после getgrnam_r, то перед вызовом нужно делать
> errno = 0. Иначе там может оказаться что угодно.

Поправил, спасибо.

> - Нет проверки fchown&fchmod на успешность. Хотя может это и не важно, делать
> что-то в случае ошибки вряд ли нужно, если только сообщение вывести.

Да, тут пока не вижу смысла... Нужно разобраться в выводе логов, а иначе смысл
проверки теряется.